網絡攻擊行為與安全防御

王永健

[摘要]在信息時代，信息安全問題越來越重要，而現在大部分信息都是通過互聯網來傳播的，因此互聯網安全就顯得尤為重要。對常見的網絡攻擊行為以及安全防御系統的實現進行探討。

[關鍵詞]網絡攻擊 安全防御 黑客

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0510066－01

一、常見的網絡攻擊行為

（一）利用惡意軟件

1．邏輯炸彈。它是一種程序，在特定的條件下（通常是由于漏洞）會對目標系統產生破壞作。2．后門。它是一種程序，允許黑客遠程執行任意命令。3．蠕蟲。它是一種獨立的程序，可以直接破壞數據，或者因消耗系統資源而減低系統性能，甚至使整個網絡癱瘓。4．病毒。它是一種程序或代碼（但并不是獨立的程序），能夠在當前的應用中自我復制，并且可以附著在其他程序上。5．特洛伊木馬。特洛伊木馬往往能夠執行某種有用的功能，而這種看似有用的功能卻能夠隱藏在其中的非法程序。當合法用戶使用這樣合法的功能時，特洛伊木馬也同時執行了非授權的功能，而且通常篡奪了用戶權限。

（二）利用電腦脆弱性

1．訪問權限。黑客利用系統文件的讀/寫等訪問控制權限配置不當造成的弱點，獲取系統的訪問權。2．蠻力攻擊。黑客通過多次嘗試主機上默認或安全性極弱的登錄/口令，試登錄到某個帳號。還有一種形式是采用口令破解程序，對用戶加密后的口令文件進行破解。3．緩沖區溢出。一種形式的緩沖區溢出攻擊是黑客本人編寫并存放在緩沖區后任意的代碼，然后執行這些代碼。另一種形式的緩沖區溢出攻擊是程序代碼編寫時欠考慮。典型的一種形式是對用戶輸入的邊界檢查問題。4．信息流泄露。黑客利用在某個程序執行時所產生的某些暫時的不安全條件，例如在執行SUID時執行用戶具有同被執行程序的屬主同等權限，這樣執行用戶就可以獲得對某些敏感數據的訪問權。

（三）操縱IP包

1．端口欺騙。利用常用服務的端口，如20/53/80/1024等，避開包過濾防火墻的過濾規則。2．化整為零。黑客將正常長度的數據包分解為若干小字節的數據包，從而避開防火墻過濾規則。3．盲1P欺騙。即改變源IP地址進行欺騙，盲IP欺騙可能造成嚴重的后果，基于IP源地址欺騙的攻擊可穿過過濾路由器（防火墻），并可能獲得受到保護的主機的root權限。4. 序列號預測。某些主機產生的隨機序列號不夠隨機，這也就意味著不安全。黑客通過分析和發現隨機序列的產生規律，計算出該主機與服務器連接時的TCPSEQ/ACK序列號，即可欺騙服務器并與之建立“合法”的連接。

（四）拒絕服務DoS

1．Smurfing拒絕服務攻擊。如果黑客將發送的ICMP請求包的源地址偽造為被攻擊者的地址，則該網絡上所有主機的工CMPECHOREPLY包都要發往被攻擊的主機，不僅造成被攻擊者的主機出現流量過載，減慢甚至停止正常的服務，而且發出ICMP回應包的中間受害網絡也會出現流量擁塞甚至網絡癱瘓。2．分片攻擊。這種攻擊方法利用了TCP/IP協議的弱點，被攻擊的目標主機要么處于藍屏幕的停機狀態，要么死機或重新啟動。類似這樣的黑客攻擊工具有：Teardrop New Tear Bonk和Boink等。3．帶外數據包攻擊。向一個用戶Windows系統的NetBIOS的端口，發送帶外數據包。OOB（垃圾數據），windows不知如何處理這些OOB，可以遠程造成該用戶系統運行異常。對方用戶只有重新啟動才能正常工作。4．分布式拒絕服務攻擊DDOS。DDOS隱蔽性更強。通過間接操縱因特網上“無辜”的計算機實施攻擊，突破了傳統攻擊方式從本地攻擊的局限性和不安全性。攻擊的規模可以根據情況做得很大，使目標系統完全失去提供服務的功能。

二、網絡安全防御系統實現策略

（一）網絡安全

1．安全網絡拓撲。整個網絡拓撲設計為雙網結構，即內部LAN網中的所有主機對服務器的訪問與INTERNET用戶對服務器的訪問是通過兩條不同的信道進行，體現了其安全性。2．防火墻。防火墻對各種帶有攻擊嫌疑的數據包進行過濾:源IP地址；目的IP地址；協議類型(IP，ICMP，TCP，UDP)；源TCP/UDP端口；目的TCP/UDP端口；TCP報文標志域；ICMP報文類型域和代碼域；包通信的日期和時間，包括起始時間、終止時間，區間從年、月、周、日直至小時、分鐘。提供內部IP地址與MAC地址的綁定，防止IP地址盜用。防止IP地址欺騙，拒絕所有來自外部網絡而源地址為內部地址的數據包。防止DOS攻擊，通過對保護目標主機的通信狀態跟蹤，判斷DOS/DDOS攻擊，并作出反應，保證服務器的正常運行。3．實時入侵檢測。該網絡防御系統通過網絡安全監測儀提供了強大的實時入侵檢測功能，能夠通過對網絡數據的收集和分析，與入侵行為的規則集進行匹配，判斷入侵行為的發生，并提供實時報警功能，并切斷非法連接。

（二）數據安全

1．保密性：（1）SSL加密通道。網站開通SSL的加密通道，SSL中使用了RSA的加密機制，這樣就能夠保證在客戶瀏覽器與網站的交互過程中，所有交互信息均通過加密通道傳輸。安全郵件系統SSL通道保證了用戶瀏覽器與網站的交互信息的保密性。（2）內容監控軟件。考慮到不同的公司和組織對內部信息向外傳輸的控制程度不同，且可能牽涉到員工隱私權的問題，所以需要根據客戶要求選擇，在網絡出口處設置內容監控軟件，其目的是對進出網絡的網絡數據內容實施監控，這樣通過內容監控，確保了內部敏感信息的保密性。（3）可靠性。該服務器具有以下特點:大容量存儲介質。在沒有備份工作時應該切斷所有網絡連接。確保備份介質的物理安全。確保該服務器的專用性。確保該服務器中用戶信息和口令的安全保密。這樣通過該服務器的工作，將使整個系統可以在出現事故后得到及時的恢復，以保證其工作正常。

（三）系統安全

1．鑒別認證。利用了安全操作系統提供的鑒別機制，采用了IC卡的方式對所有內部用戶進行身份鑒別，所有內部用戶的IC卡均通過統一的發卡中心發放，只有持卡用戶才能夠進入服務器，而網絡用戶是無法通過普通的遠程登錄進入服務器的，從而保證了服務器的登錄安全。2．安全掃描。安全掃描的基本工作原理就是模擬攻擊，一旦攻擊成功，就意味存在漏洞。安全掃描的另一部分就是病毒防治功能。通過定期或是非定期的病毒掃描，防止病毒的進入和漫延。通過實時網上病毒掃描和防病毒軟件的定期升級功能，防止引入新的病毒。

三、結語

綜上所述，由于計算機信息有共享和易于擴散等特性，它在處理、存儲、傳輸和使用上有著嚴重的脆弱性，很容易被干擾、濫用、遺漏和丟失，甚至被泄露、竊取、篡改、冒充和破壞，還有可能受到計算機病毒的感染。因此如何打造一套網絡安全防御系統顯得尤為重要。

參考文獻：

[1]中國互聯網絡信息中心，《中國互聯網絡發展狀況統計報告》，2008.1.

[2]許潤國，基于數據挖掘的入侵檢測系統研究與設計[J].網絡安全，2006.10.